Obama fordert verschärfte Gesetze

In seiner kommenden Rede zur Lage der Nation vor dem US-Kongress, will Präsident Barack Obama ein nationales Datendiebstahls-Informationsgesetz (National Data Breach Notification Law) vorschlagen und das Parlament dazu aufrufen, der Novelle baldmöglichst zuzustimmen. Kern des Gesetzes: Firmen, denen Daten gestohlen werden, sollen dazu verpflichtet werden, ihre Kunden innert 30 Tagen über die Vorkommnisse zu informieren.

«Wenn wir verbunden sein werden, müssen wir auch geschützt sein», lautet das Credo von Obama. «Als Amerikaner sollten wir nicht unsere Privatsphäre aufs Spiel setzen müssen, wenn wir online Geschäfte abschliessen wollen», so der US-Präsident weiter. Wahrer Hintergrund dürfte aber auch die derzeitige Gesetzesvielfalt sein. 45 US-Bundesstaaten haben eigene Regelungen zu diesem Punkt. Nun soll also ein nationaler Standard her.

Auch hierzulande dürfte sich die Gesetzeslage in Sachen Informationspflicht in naher Zukunft ändern, wie David Rosenthal, Konsulent der Kanzlei Homburger in Zürich, gegenüber Computerworld.ch meint. Denn noch gebe es «keine ausdrückliche Informationspflicht, ausser in bestimmten Bereichen wie zum Beispiel bei Banken gegenüber der FINMA», sagt er. «Es ist aber in der Schweiz anerkannt, dass sich eine Informationspflicht bei Data Breaches im Einzelfall schon aus dem geltenden Datenschutz- und Vertragsrecht ergeben kann», beschreibt er die Situation. In diesem Zusammenhang sei es zudem nicht immer üblich, nötig oder gar ratsam, den Endkunden zu informieren. So müsse beispielsweise bei der Entwendung von Kreditkarteninformationen als erstes die Kreditkartenfirma informiert werden, ist Rosenthal überzeugt. «Schliesslich ist sie die einzige, die die zum Schutz der Karteninhaber nötigen Sofortmassnahmen ergreifen kann», gibt er zu bedenken.

Laut Rosenthal wird sich die Rechtslage aber in der Schweiz in absehbarer Zeit ändern: «Früher oder später wird eine Pflicht zur Information der betroffenen Personen oder der Behörden ausdrücklich ins Datenschutzgesetz geschrieben werden». Grund hierfür sei «der gegenwärtige, beinahe finale Entwurf der Anpassung der Europarats-Konvention 108, wo die Schweiz auch dabei ist», meint er. Diese Anpassung sehe vor, dass die für eine Datenbearbeitung verantwortliche Stellen zumindest die Aufsichtsbehörde informieren müssten, wenn es zu einem Data Breach kommt, der ernsthaft die Rechte der betroffenen Personen beeinträchtige. «Die Schweiz wird das irgendwie umsetzen müssen», folgert Rosenthal.